Как защититься от нового вируса-вымогателя Bad Rabbit

Вирус Bad Rabbit, поразивший информационные и банковские системы, может быть предвестником третьей волны вирусов-шифровальщиков, полагают в «Лаборатории Касперского». Первыми двумя были нашумевшие WannaCry и Petya (он же NotPetya). О возникновении нового сетевого зловреда и о том, как защититься от его мощной атаки, «Prime News» рассказал по кибербезопасности.

В основном пострадавшие от атаки Bad Rabbit («Плохого кролика») находятся в России. На территории Украины, Турции и Германии их значительно меньше, отметил руководитель отдела антивирусных исследований «Лаборатории Касперского»Вячеслав Закоржевский. Вероятно, вторыми по активности оказались те страны, где пользователи активно следят за российскими интернет-ресурсами.

Когда вредоносная программа заражает компьютер, она шифрует на нем файлы. Распространяется она с помощью веб-трафика с взломанных интернет-ресурсов, среди которых оказались преимущественно сайты федеральных российских СМИ, а также компьютеры и серверы киевского метрополитена, украинского министерства инфраструктуры, международного аэропорта «Одесса». Зафиксирована и неудачная попытка атаковать российские банки из топ-20.

О том, что «Фонтанку», «Интерфакс» и ряд других изданий атаковал Bad Rabbit, сообщила вчера компания Group-IB – она специализируется на информационной безопасности. Анализ кода вируса показал, что Bad Rabbit связан с шифровальщиком Not Petya, который в июне этого года атаковал энергетические, телекоммуникационные и финансовые компании на Украине.

Атака готовилась несколько дней и, несмотря на масштабы заражения, вымогатели требовали от жертв атаки сравнительно небольшие суммы - 0,05 биткойна (это около 283 долларов или 15 700 рублей). На выкуп отводится 48 часов. После истечения этого срока сумма возрастает.

Специалисты Group-IB полагают, что, скорее всего, у хакеров нет намерения заработать. Их вероятная цель - проверить уровень защиты сетей критической инфраструктуры предприятий, государственных ведомств и частных компаний.

Стать жертвой атаки легко

Когда пользователь заходит на зараженный сайт, вредоносный код передает информацию о нем на удаленный сервер. Далее появляется всплывающее окно с предложением загрузить обновление для Flash Player, которое является фальшивым. Если пользователь одобрил операцию «Install/Установить», на компьютер загрузится файл, который в свою очередь запустит в системе шифратор Win32/Filecoder.D. Далее доступ к документам будет заблокирован, на экране появится сообщение о выкупе.

Вирус Bad Rabbit сканирует сеть на предмет открытых сетевых ресурсов, после чего запускает на зараженной машине инструмент для сбора учетных данных и этим «поведением» отличается от своих предшественников.

Специалисты международного разработчика антивирусного программного обеспечения Eset NOD 32 подтвердили, что Bad Rabbit – новая модификация вируса Petya, принцип действия которого был таким же - вирус шифровал информацию и требовал выкуп в биткоинах (сумма была сопоставимой с Bad Rabbit - 300 долларов). В новой вредоносной программе исправлены ошибки в шифровании файлов. Код, использованный в вирусе, предназначен для шифрования логических дисков, внешних USB-накопителей и образов CD/DVD, а также загрузочных системных разделов диска.

Говоря об аудитории, которая подверглась атакам Bad Rabbit, руководитель поддержки продаж ESET Russia Виталий Земских заявил о том, что 65% атак, остановленных антивирусными продуктами компании, приходятся на Россию. В остальном география нового вируса выглядит так:

Украина – 12,2%

Болгария – 10,2%

Турция – 6,4%

Япония – 3,8%

другие – 2,4%

«Вымогатель использует известное программное обеспечение с открытым кодом под названием DiskCryptor для шифрования дисков жертвы. Экран сообщения о блокировке, который видит пользователь, почти идентичен экранам блокировки Petya и NotPetya. Тем не менее, это единственное сходство, которое мы наблюдали до сих пор между двумя зловредами. Во всех других аспектах BadRabbit - совершенно новый и уникальный вид вымогателя», - полагает в свою очередь технический директор компании Check Point Software Technologies Никита Дуров.

Как защититься от Bad Rabbit?

Обладатели операционных систем, отличных от Windows, могут облегченно вздохнуть, так как новый вирус-шифровальщик делает уязвимыми только компьютеры с этой «осью».

Для защиты от сетевого зловреда специалисты рекомендуют создать на своем компьютере файл C:\windows\infpub.dat, при этом установить для него права «только для чтения» - это несложно сделать в разделе администрирования. Таким образом вы заблокируете исполнение файла, и все поступающие извне документы не будут зашифрованы даже в том случае, если окажутся зараженными. Чтобы не потерять ценные данные в случае заражения вирусом, уже сейчас сделайте бэкап (резервную копию). И, разумеется, стоит помнить, что выплата выкупа – ловушка, не гарантирующая вам разблокировку компьютера.

Напомним, вирус WannaCry в мае этого года распространился не менее чем в 150 странах мира. Он шифровал информацию и требовал заплатить выкуп, по разным данным, от 300 до 600 долларов. От него пострадали свыше 200 тысяч пользователей. По одной из версий, его создатели взяли за основу вредоносную программу АНБ США Eternal Blue.